加密通讯流量（流量加密防止监视）

本文目录一览：

• 1、【观成科技】加密C2框架Merlin流量分析
• 2、网络入侵检测系统之加密流量识别
• 3、加密C2框架NimPlant流量分析
• 4、冰蝎-特征检测及报文解密
• 5、观成科技-加密C2框架EvilOSX流量分析

【观成科技】加密C2框架Merlin流量分析

1、观成科技的安全研究团队通过细致的分析，能够有效检测Merlin的加密通信流量。尽管其加密技术增强了隐蔽性，但通过TLS限定域指纹和多流行为检测手段，仍然可以追踪并应对这类加密C2工具。随着攻击者手段的升级，观成科技将持续关注并研究针对加密流量的检测技术，以维护网络安全。

2、总的来说，Merlin的加密特性使其在复杂环境中具有实用性，但观成科技团队正持续关注并研究新的检测技术，以应对加密C2工具的挑战。

网络入侵检测系统之加密流量识别

其他研究者如思科和Iustitia利用异常流量分析和机器学习技术，无需解密就能检测恶意程序。例如，通过分析正常和恶意流量之间的特征差异，以及特定流量的头部信息，来识别加密恶意流量。

入侵检测系统（IDS）是一种安全工具，用于检测计算机系统、网络或应用程序中的恶意活动和安全漏洞。其通过监控计算机系统、网络或应用程序的活动，以识别潜在入侵行为，并向管理员发出警报，便于采取相应措施。IDS根据检测位置和方式分为多种类型，包括基于网络的IDS（NIDS）和基于主机的IDS（HIDS）。

入侵检测系统（IDS）是用于检测计算机系统、网络或应用程序中的恶意活动和安全漏洞的安全工具。通过监控活动以检测潜在入侵行为并发出警报，管理员可采取适当措施。IDS按检测位置分为基于网络的NIDS和基于主机的HIDS。NIDS专注于监控网络流量，通过分析流量以检测入侵行为和安全漏洞，帮助组织及时响应并减少影响。

入侵检测系统探测器获取网络流量的方法有：数据采集、深度包检测等。数据采集 数据采集是入侵检测系统探测器获取网络流量的重要方法之一。对于这种方法，入侵检测系统需要依靠拦截网络流量并分析其内容来识别潜在的恶意网络活动。这种方法的优点是它可以根据实际网络流量来检测入侵者。

加密C2框架NimPlant流量分析

1、在HTTPS支持下，虽然流量本身是加密的，但其行为特征仍可能被检测系统识别。NimPlant的流量特征可能包括特定的GET和POST请求模式，以及自定义URL的使用。检测手段：现代安全防护手段，如观成瞰云的加密威胁智能检测系统，能够通过人工智能和流行为分析技术，有效识别并检测NimPlant等加密C2工具的通信行为。

2、NimPlant，作为一款Python开发的轻量级C2框架，通过HTTP/HTTPS协议实现加密通信。它默认使用HTTP，但支持SSL/TLS加密，增强通信的隐蔽性。NimPlant的工作流程涉及密钥交换、命令与控制等阶段，以GET和POST请求的形式进行操作，并支持自定义URL。

3、NimPlant，一款由Python构建的轻型C2框架，通过HTTP/HTTPS加密通信在C2服务器与客户端之间进行隐蔽交流。它默认使用HTTP，但支持配置证书进行SSL/TLS加密，以增强通信的隐秘性。NimPlant允许用户设置任务请求URL，增强任务伪装性。

冰蝎-特征检测及报文解密

1、冰蝎在流量交互中的特征可以分为可绕过和非可绕过两大类。可绕过特征包括Accept字段、UserAgent字段和长连接等，攻击者可以通过构造报文进行绕过，导致设备检测不到冰蝎webshell特征。非可绕过特征则包括密钥传递时的URL参数、加密时的URL参数、传递的密钥、加密数据上行和下行等。

2、为有效检测冰蝎，需结合多个特征进行分析，以降低误报。例如，检测Accept字段的异常值，或者追踪UserAgent的多样化。在报文解密方面，冰蝎使用AES加密并编码，服务器返回的16位随机密钥是解密的关键。通过截获并利用AES在线解码工具，可以获取加密后的详细信息。

3、通过对冰蝎加密流量的Wireshark抓包，我发现加密请求的URI和referer虽然在初次访问时相同，但后续会有所变化，密钥协商过程似乎不再可见。这使得面对加密报文时，我们显得无计可施。但通过行为模式，可以观察到一些线索：同一URL会频繁被访问，然而源IP却非常有限，这是Webshell的典型特征。

观成科技-加密C2框架EvilOSX流量分析

1、在利用EvilOSX-C2工具的过程中，会优先上传其释放的木马文件，该文件具有特殊格式。之后通信过程中，会利用404页面隐藏真实响应。但基于人工智能、流行为特征和TLS限定域指纹检测的加密威胁智能检测系统能够检测此类加密通信行为。如今越来越多的攻击者利用具体加密通信功能C2工具，以增强攻击的隐蔽性。